Управление данными службы автоматизации Azure
Эта статья затрагивает несколько тем, касающихся защиты данных и их безопасности в среде службы автоматизации Azure.
TLS для служба автоматизации Azure
Чтобы обеспечить безопасность передаваемых данных в служба автоматизации Azure, настоятельно рекомендуется настроить использование протокола TLS. Ниже приведен список методов или клиентов, взаимодействующих со службой автоматизации по протоколу HTTPS.
Вызовы веб-перехватчика
Гибридные рабочие роли Runbook, которые включают компьютеры, управляемые с помощью решений "Управление обновлениями" и "Отслеживание изменений и инвентаризации".
Узлы DSC
Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется. Рекомендуем по возможности не настраивать в агенте работу только с протоколом TLS 1.2, так как это может на уровне платформы нарушить работу функций безопасности, которые позволяют автоматически обнаруживать и использовать новые, более безопасные протоколы по мере их появления, например TLS 1.3.
Сведения о поддержке TLS с агентом Log Analytics для Windows и Linux, которая является зависимостью для роли гибридной рабочей роли Runbook, см. в обзоре агента Log Analytics — TLS.
Обновление протокола TLS для гибридных рабочих ролей и вызовов веб-перехватчика
С 31 октября 2024 г. все агенты на основе гибридных рабочих ролей Runbook, веб-перехватчиков и узлов DSC с использованием протоколов TLS 1.0 и 1.1 больше не смогут подключаться к служба автоматизации Azure. Все задания, выполняемые или запланированные для гибридных рабочих ролей с использованием протоколов TLS 1.0 и 1.1, завершаются ошибкой.
Убедитесь, что вызовы веб-перехватчика, которые активируют модули Runbook, перемещаются по протоколу TLS 1.2 или более поздней версии. Убедитесь, что необходимо внести изменения в реестр, чтобы рабочие роли на основе агентов и расширений согласовывались только с протоколами TLS 1.2 и более поздних версий. Узнайте, как отключить протоколы TLS 1.0/1.1 в гибридной рабочей роли Windows и включить TLS 1.2 или более поздней версии на компьютере Windows.
Для гибридных рабочих ролей Linux выполните следующий скрипт Python для обновления до последнего протокола TLS.
import os
# Path to the OpenSSL configuration file as per Linux distro
openssl_conf_path = "/etc/ssl/openssl.cnf"
# Open the configuration file for reading
with open(openssl_conf_path, "r") as f:
openssl_conf = f.read()
# Check if a default TLS version is already defined
if "DEFAULT@SECLEVEL" in openssl_conf:
# Update the default TLS version to TLS 1.2
openssl_conf = openssl_conf.replace("CipherString = DEFAULT@SECLEVEL", "CipherString = DEFAULT@SECLEVEL:TLSv1.2")
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been updated to TLS 1.2.")
else:
# Add the default TLS version to the configuration file
openssl_conf += """
Options = PrioritizeChaCha,EnableMiddleboxCompat
CipherString = DEFAULT@SECLEVEL:TLSv1.2
MinProtocol = TLSv1.2
"""
# Open the configuration file for writing and write the updated version
with open(openssl_conf_path, "w") as f:
f.write(openssl_conf)
# Restart any services that use OpenSSL to ensure that the new settings are applied
os.system("systemctl restart apache2")
print("Default TLS version has been added as TLS 1.2.")
Поиск руководств в соответствии с платформой
| Платформа или язык | Поддержка | Дополнительные сведения |
|---|---|---|
| Linux | Как правило, дистрибутивы Linux для поддержки протокола TLS 1.2 используют OpenSSL. | Убедитесь, что ваша версия OpenSSL поддерживается, проверив журнал изменений OpenSSL. |
| Windows 8.0–10 | Поддерживается и включена по умолчанию. | Убедитесь, что вы все еще используете параметры по умолчанию. |
| Windows Server 2012–2016 | Поддерживается и включена по умолчанию. | Убедитесь, что вы все еще используете параметры по умолчанию. |
| Windows 7 с пакетом обновления 1 и Windows Server 2008 R2 с пакетом обновления 1 | Поддерживается, но не включена по умолчанию. | Информацию о том, как ее включить, см. на странице Transport Layer Security (TLS) registry settings (Параметры реестра TLS). |
Хранение данных
После удаления ресурса в службе автоматизации Azure он сохраняется еще много дней в целях аудита, прежде чем будет удален окончательно. В течение этого времени его нельзя увидеть или использовать. Эта политика применяется также к ресурсам удаляемой учетной записи службы автоматизации. Политика хранения применяется ко всем пользователям и в настоящее время не может быть изменена. Но если вам нужно сохранять данные на более длительный период времени, воспользуйтесь пересылкой данных задания службы автоматизации Azure в журналы Azure Monitor.
В следующей таблице кратко описана политика хранения для различных ресурсов.
| Data | Политика |
|---|---|
| Организация | Учетная запись окончательно удаляется через 30 дней после удаления пользователем. |
| Ресурсы | Актив окончательно удаляется через 30 дней после удаления пользователем или через 30 дней после удаления пользователем учетной записи, которая содержала этот актив. Активы включают переменные, расписания, учетные данные, сертификаты, пакеты Python 2 и подключения. |
| Узлы DSC | Узел DSC окончательно удаляется через 30 дней после отмены регистрации в учетной записи службы автоматизации на портале Azure или с помощью командлета Unregister-AzAutomationDscNode в Windows PowerShell. Также узел окончательно удаляется через 30 дней после удаления пользователем учетной записи, которая содержала этот узел. |
| Работы | Задание удаляется окончательно через 30 дней после изменения его состояния, например после его завершения, остановки или приостановки. |
| Модули | Модуль окончательно удаляется через 30 дней после удаления пользователем или через 30 дней после удаления пользователем учетной записи, которая содержала этот модуль. |
| Конфигурации узлов и MOF-файлы | Старая конфигурация узла окончательно удаляется через 30 дней после создания новой конфигурации узла. |
| Отчеты узла | Отчет узла окончательно удаляется через 90 дней после создания нового отчета для того же узла. |
| Модули runbook | Ресурс runbook окончательно удаляется через 30 дней после удаления пользователем или через 30 дней после удаления пользователем учетной записи, которая содержала этот ресурс1. |
1Модуль runbook можно восстановить в течение 30-дневного периода, направив соответствующее обращение в службу поддержки Azure. Перейдите на веб-сайт поддержки Azure и нажмите кнопку Отправить запрос на техническую поддержку.
Резервное копирование данных
При удалении учетной записи службы автоматизации в Azure удаляются и все содержащиеся в ней объекты. Это могут быть runbook, модули, конфигурации, параметры, задания и активы. Удаленная учетная запись службы автоматизации можно восстановить в течение 30 дней. Вы также можете использовать следующие сведения для резервного копирования содержимого учетной записи службы автоматизации перед его удалением:
Модули runbook
Модули Runbook можно экспортировать в файлы сценариев с помощью портала Azure или командлета Get-AzureAutomationRunbookDefinition в Windows PowerShell. Чтобы импортировать файлы скрипта в другую учетную запись службы автоматизации, воспользуйтесь руководством Управление модулями runbook в службе автоматизации Azure.
Модули интеграции
Нельзя экспортировать модули интеграции из службы автоматизации Azure, они должны быть доступны за пределами учетной записи службы автоматизации.
Ресурсы
Невозможно экспортировать следующие активы службы автоматизации Azure: сертификаты, подключения, учетные данные, расписания и переменные. Но вы можете сохранить сведения об этих активах, используя портал Azure и командлеты Azure. На основе этих сведений можно воссоздать все ресурсы, используемые в runbook, которые вы импортируете в другую службу автоматизации.
С помощью командлетов невозможно получить значения зашифрованных переменных или полей с паролями для учетных данных. Если эти значения вам неизвестны, их можно получить из runbook. Извлечение значений переменных описано в статье Управление переменными в службе автоматизации Azure. Сведения о получении значений учетных данных см. в статье Управление учетными данными в службе автоматизации Azure.
Конфигурации DSC
Конфигурации DSC можно экспортировать в файлы скриптов с помощью портала Azure или командлета Export-AzAutomationDscConfiguration в Windows PowerShell. Вы можете импортировать эти конфигурации и применить их в другой учетной записи службы автоматизации.
Место расположения данных
Вы указываете регион во время создания учетной записи служба автоматизации Azure. Данные службы, такие как ресурсы, конфигурация, журналы хранятся в этом регионе и могут обрабатываться или обрабатываться в других регионах в том же географическом регионе. Эти глобальные конечные точки необходимы для предоставления конечным пользователям высокого уровня производительности, низкой задержки независимо от расположения. Только для региона "Южная Бразилия" (штат Сан-Паулу) географического региона Бразилии, юго-восточной Азии (Сингапур) и региона Восточной Азии (Гонконг) географического региона Азиатско-Тихоокеанского региона мы храним служба автоматизации Azure данные в том же регионе для удовлетворения требований к месту размещения данных для этих регионов.
Следующие шаги
- Дополнительные сведения о рекомендациях по обеспечению безопасности см. в служба автоматизации Azure.
- Сведения о защите активов в службе автоматизации см. в статье Шифрование защищенных ресурсов в службе автоматизации Azure.
- Подробные сведения о георепликации см. в статье Создание и использование активной георепликации.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по